El actor de amenazas patrocinado por el estado iran\u00ed rastreado bajo el nombre de Lyceum ha recurrido al uso de una nueva puerta trasera personalizada basada en .NET en campa\u00f1as recientes dirigidas contra el Medio Oriente.<\/p>\n
“El nuevo malware es un DNS Backdoor basado en .NET, que es una versi\u00f3n personalizada de la herramienta de c\u00f3digo abierto ‘DIG.net'”, dijeron los investigadores de Zscaler ThreatLabz, Niraj Shivtarkar y Avinash Kumar. dijo<\/a> en un informe publicado la semana pasada.<\/p>\n “El malware aprovecha una t\u00e9cnica de ataque de DNS llamada ‘secuestro de DNS’ en la que un servidor de DNS controlado por el atacante manipula la respuesta de las consultas de DNS y las resuelve seg\u00fan sus requisitos maliciosos”.<\/p>\n El secuestro de DNS es un ataque de redirecci\u00f3n<\/a> en el que se interceptan consultas de DNS a sitios web genuinos para llevar a un usuario desprevenido a p\u00e1ginas fraudulentas bajo el control de un adversario. A diferencia del envenenamiento de cach\u00e9, el secuestro de DNS tiene como objetivo el registro DNS del sitio web en el servidor de nombres, en lugar de la cach\u00e9 de un resolutor.<\/p>\n Lyceum, tambi\u00e9n conocido como Hexane, Spirlin o Siamesekitten, es principalmente conocido por sus ciberataques en Medio Oriente y \u00c1frica. A principios de este a\u00f1o, la empresa de ciberseguridad eslovaca ESET vincul\u00f3 sus actividades a otro actor de amenazas llamado OilRig (tambi\u00e9n conocido como APT34).<\/p>\n La \u00faltima cadena de infecci\u00f3n implica el uso de un documento de Microsoft con macros descargado de un dominio llamado “news-spot”.[.]vivir”, haci\u00e9ndose pasar por un informe de noticias leg\u00edtimas<\/a> de Radio Free Europe\/Radio Liberty sobre los ataques con drones de Ir\u00e1n en diciembre de 2021.<\/p>\n Habilitar la macro da como resultado la ejecuci\u00f3n de un c\u00f3digo malicioso que deja caer el implante en el Carpeta de inicio de Windows<\/a> para establecer la persistencia y garantizar que se ejecute autom\u00e1ticamente cada vez que se reinicia el sistema.<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/La-operacion-del-ransomware-Conti-se-cierra-despues-de-dividirse.png\")
<\/a><\/div>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655092791_137_Piratas-informaticos-iranies-detectados-usando-un-nuevo-malware-de-secuestro.jpg\" "\\"Malware")
<\/div>\n![\"Malware](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/06\/1655092791_614_Piratas-informaticos-iranies-detectados-usando-un-nuevo-malware-de-secuestro.jpg\" "\\"Malware")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n